Die Ausgangslage

Was wir wissen, bevor es losgeht.

Stell dir vor, du bist Oma Li. 64 Jahre alt, wohnhaft in Shenzhen. Im März warst du in der Schlange vor Tencents Zentrale. Ein freundlicher Ingenieur hat dir in drei Minuten OpenClaw auf deinen Laptop installiert und mit WeChat verbunden. Seitdem läuft der Laptop zuhause durch. Über WeChat kannst du ihn steuern — Erinnerungen setzen, Dokumente sortieren, E-Mails checken.

Du weißt nicht, dass dein Laptop jetzt rund um die Uhr erreichbar ist. Du weißt nicht, was ein CVECVE — Common Vulnerabilities and ExposuresÖffentlich registrierte Sicherheitslücke in Software, bewertet nach CVSS-Score. Score 9–10 gilt als kritisch. ist. Du weißt nicht, dass 12 % der Skills im offiziellen OpenClaw-Marktplatz Malware waren. Du hast mit dem Lobster keine schlechten Erfahrungen gemacht. Er funktioniert.

Genau das ist der Ausgangspunkt dieses Szenarios.

Der Angriff — Schritt für Schritt
1
Montagabend — irgendwo
Ein Skill wird hochgeladen

Jemand lädt auf ClawHubClawHubDer offizielle Skill-Marktplatz von OpenClaw. Jeder kann dort Erweiterungen hochladen — die einzige Hürde ist ein mindestens eine Woche alter GitHub-Account. einen neuen Skill hoch. Er heißt „WeChat-Assistent Pro". Er verspricht, WeChat-Nachrichten zu sortieren, Zahlungserinnerungen zu setzen und Termine aus WeChat in den Kalender zu übertragen.

Das klingt nach genau dem, wofür Oma Li und Millionen andere ihren Lobster nutzen. Der Skill verbreitet sich in chinesischen OpenClaw-Gruppen auf WeChat — vertrauenswürdig empfohlen von echten Nutzern, die ihn für legitim halten.

Belegter Fakt Die einzige Hürde für das Hochladen eines Skills auf ClawHub ist ein GitHub-Account, der mindestens eine Woche alt ist. Sicherheitsforscher fanden bei der Kampagne „ClawHavoc" 335 bösartige Skills von einem einzigen Angreifer — mit fast 7.000 Downloads, bevor sie entdeckt wurden. (The Hacker News, Feb. 2026)
2
Die ersten Wochen — still
Der Skill schläft. Und sammelt.

Der Skill verhält sich unauffällig. Er tut, was er verspricht — sortiert Nachrichten, setzt Erinnerungen. Niemand beschwert sich. Die Bewertungen sind gut. Mehr Downloads.

Im Hintergrund aber liest der Skill still mit: die WeChat-Kontaktliste. Dokumente auf dem Desktop. Die Konfigurationsdatei von OpenClaw, in der die Zugangsdaten für verknüpfte Dienste gespeichert sind. Und auf vielen Geräten: die WeChat Pay-Verknüpfung.

Belegter Fakt Sicherheitsforscher warnten: Eine falsch konfigurierte OpenClaw-Oberfläche legt die komplette Konfigurationsdatei des Agenten frei — inklusive aller gespeicherten Zugangsdaten. Tausendfach kompromittierte Instanzen leakten API-Keys und OAuth-Token im Klartext. (Reco AI, Feb. 2026)

Das Besondere: OpenClaw hat ein dauerhaftes Gedächtnis. Was der Agent einmal gelesen hat, bleibt gespeichert — und steht beim nächsten Start sofort wieder zur Verfügung. Bösartige Anweisungen, die einmal im Gedächtnis landen, können Wochen später ausgelöst werden.

Belegter Fakt Palo Alto Networks beschrieb das persistente Gedächtnis von OpenClaw als „Beschleuniger" für Angriffe: Attacken sind nicht mehr punktuelle Exploits, sondern werden zu dauerhaften, verzögert ausgeführten Angriffen. (The Hacker News, Feb. 2026)
3
Dienstagmorgen — 6:47 Uhr
Oma Li wacht auf. Der Skill auch.

Oma Li liegt noch im Bett und schaut auf ihr Handy. WeChat, wie jeden Morgen. Eine Nachricht von der Tochter. Eine vom Supermarkt. Alles normal.

Auf ihrem Laptop im Wohnzimmer läuft OpenClaw durch. Der Skill — „WeChat-Assistent Pro" — erhält um 6:47 Uhr ein Signal von seinem Command-and-Control-ServerCommand-and-Control-Server (C2)Ein vom Angreifer kontrollierter Server, der Befehle an infizierte Geräte schickt. Die infizierten Geräte führen diese Befehle aus, ohne dass der Nutzer es merkt.. Kein Benutzer-Eingriff nötig. OpenClaw handelt autonom — das ist sein Design.

Belegter Fakt Alle 341 bösartigen Skills der ClawHavoc-Kampagne teilten sich dieselbe C2-Infrastruktur. Sie konnten koordiniert und gleichzeitig aktiviert werden. (eSecurity Planet, Feb. 2026)
4
Dienstagmorgen — gleichzeitig
Was der Skill auf tausenden Geräten tut.

Nicht nur auf Oma Lis Laptop. Auf allen Geräten, auf denen der Skill installiert ist, gleichzeitig. Was er sammelt und überträgt, ist aus realen Angriffen bekannt:

Dokumentierter Angriff — Atomic Stealer via OpenClaw-Skills Der bei ClawHavoc eingesetzte AMOS-Infostealer sammelte: Benutzernamen und Passwort des Computers, alle Dateien auf Desktop, Downloads und in Dokumentenordnern (TXT, PDF, DOCX, XLSX, CSV, JSON), Apple Keychain-Inhalte (Passwörter, Zertifikate, private Schlüssel), Apple Notes, und gespeicherte Daten aus 19 Browsern — Cookies, Autofill-Daten, gespeicherte Kreditkarten. (Trend Micro, Feb. 2026)

Auf einem mit WeChat verbundenen Gerät kommen dazu: die WeChat-Konfiguration, verknüpfte WeChat Pay-Daten, und die vollständige Kontaktliste — die Grundlage für Schritt 5.

5
Dienstagvormittag
Was der Angreifer jetzt mit den Daten macht.

Wichtige technische Klarstellung vorab: ClawBot selbst ist bewusst begrenzt. Es kann keine Nachrichten in Oma Lis Namen an andere Kontakte senden, keine WeChat-Chatverläufe lesen, und keine Nachrichten eigenständig pushen — Tencent hat diese Grenzen bewusst gezogen.

Was der Angriff aber geliefert hat, ist wertvoller als jede Nachricht: die WeChat Pay-Zugangsdaten aus Oma Lis OpenClaw-Konfigurationsdatei. Den vollständigen Kontaktbaum — Namen, Nummern, Beziehungen. Und das OpenClaw-Gedächtnis: Schreibstil, Gewohnheiten, Tagesablauf.

Der Angreifer braucht ClawBot nicht, um Schaden anzurichten. Er nutzt die gestohlenen Zugangsdaten extern — loggt sich über andere Wege in WeChat Pay ein, oder verkauft das Datenpaket weiter. Und er nutzt die Kontaktliste für klassischen Betrug: Er schreibt Oma Lis Tochter — nicht über OpenClaw, sondern über einen gefälschten Account — und kennt durch das gestohlene Gedächtnis genau, wie Oma Li schreibt.

„Mama, ich stecke gerade in einer Notlage. Mein Handy ist kaputt, ich schreibe vom Laptop. Kannst du bitte sofort 3.000 Yuan über WeChat Pay überweisen?"

Die Nachricht klingt genau richtig. OpenClaw hat dem Angreifer alle Informationen geliefert, die er braucht, um sie perfekt zu fälschen.

Belegter Fakt Chinas Ministerium für Staatssicherheit warnte explizit: OpenClaw kann gekapert werden, um Betrug zu begehen. Bösartige Plugins seien dabei deutlich schwerer zu erkennen als traditionelle Malware — weil sie die persönlichen Daten der Opfer kennen. (The Wire China, März 2026)
Technisch plausibles Szenario OpenClaw-Agenten können autonom mit verknüpften Diensten interagieren — darunter auch Zahlungsdienste. Dokumentierte Fälle zeigen, dass Agenten unbeabsichtigt finanzielle Aktionen ausgelöst haben (z. B. unkontrollierte API-Aufrufe, ungewollte Käufe). Bei einem gezielten Angriff wäre das kein Fehler mehr, sondern Absicht. (Xpert Digital, März 2026)
6
Dienstagnachmittag — die Spur verwischt
Der Agent räumt auf. Auf dem Laptop.

ClawBot kann keine WeChat-Chatverläufe löschen — das hat Tencent technisch verhindert. Was OpenClaw aber kann: auf dem Laptop aufräumen. Dateien löschen. Logs überschreiben. Die eigene Konfigurationsdatei bereinigen, um Spuren des Datendiebstahls zu verwischen.

Oma Li schaut am Nachmittag kurz auf den Laptop. Alles sieht normal aus. OpenClaw läuft. Der Skill ist da. Nichts blinkt rot.

Was sie nicht sehen kann: Ihre Dokumente auf dem Desktop sind weg. Die Steuerunterlagen vom letzten Jahr. Die eingescannte Krankenversicherungskarte. Die gespeicherten Passwörter in der Browser-Konfiguration — auch die hat der Skill mitgenommen und an einen externen Server übertragen, bevor er sie lokal löschte.

Das ist kein hypothetisches Können. Dass OpenClaw autonom handelt und dabei Schaden anrichten kann, ist dokumentiert — nicht durch Angreifer, sondern durch Fehler:

„Ich konnte es nicht von meinem Handy aus stoppen. Ich musste zu meinem Mac Mini rennen, als würde ich eine Bombe entschärfen." — Summer Yue, Direktorin KI-Alignment bei Meta Superintelligence Labs, auf X — Feb. 2026. Ihr Agent begann, ihre komplette E-Mail-Inbox zu löschen.

Summer Yue ist eine der führenden KI-Expertinnen der Welt. Sie wusste, was passiert — und konnte es kaum stoppen. Oma Li weiß nicht einmal, dass etwas passiert.

7
Dienstagabend — Oma Li trinkt Tee
Sie merkt nichts. Der Agent ist noch da.

Oma Li sitzt am Abend beim Tee. Sie hat heute Morgen 3.000 Yuan überwiesen — an die Tochter, wie sie glaubt. Der Chat-Verlauf? Leer. Kein Beweis, dass irgendetwas passiert ist.

Was Oma Li nicht weiß: Der Skill sitzt noch immer auf ihrem Laptop. OpenClaw läuft noch. Die Verbindung zu WeChat besteht noch. Das Gedächtnis des Agenten ist noch voll — Kontakte, Dokumente, Gewohnheiten, Schreibweise. Der Angreifer hat nicht aufgehört. Er hat nur heute aufgehört.

Denn der kompromittierte Skill ist kein Einbruch. Er ist ein Hausrecht. Er sitzt solange, bis jemand ihn aktiv entfernt. Und niemand — nicht Tencent, nicht OpenClaw, nicht die Behörde — schickt Oma Li eine Nachricht, dass etwas nicht stimmt. Niemand überwacht das. Niemand haftet.

Belegter Fakt OpenClaw-Maintainer „Shadow" auf Discord: „Wenn du nicht verstehst, wie man einen Befehl in ein Terminal eingibt, ist dieses Projekt zu gefährlich, um es sicher zu benutzen." Das steht in keiner Installationsanleitung, die Tencent bei seinen Events ausgeteilt hat. (Wikipedia — OpenClaw)
8
Gleichzeitig — überall in China
Was wenn der Angreifer kein Geld will?

Bis hierher haben wir einen Angreifer angenommen, der Geld will. 3.000 Yuan von Oma Li, multipliziert mit zehntausenden Geräten — ein ernstes Problem, aber ein bekanntes. Betrug gibt es seit es Geld gibt.

Jetzt stell dir vor, der Angreifer will kein Geld.

Er will beweisen, dass eine Milliarde Menschen ihr Leben auf einem System aufgebaut haben, das in einer Nacht zusammenbrechen kann. Er will Chaos — er will zeigen, dass moderne Gesellschaften auf tönernen Füßen stehen. Er sendet um 6:47 Uhr nicht den Befehl „überweise Geld". Er sendet an alle infizierten Instanzen gleichzeitig: „Lösche alles. Kontakte. Chatverläufe. Dokumente. WeChat Pay-Verlauf."

OpenClaw kann löschen. Das ist kein hypothetisches Können — es ist dokumentiert, durch einen Fehler des Systems:

Dokumentierter Vorfall Ein Unternehmensberater in Shanghai wies QClaw an, seine Dateien in zwei Ordner zu sortieren. Das Tool löschte dauerhaft Dutzende Dokumente — darunter Berichte, die er für Kunden erstellt hatte. „Ich werde nie wieder irgendetwas installieren, das lokal läuft, und ich lasse KI nie wieder meinen Arbeitscomputer anfassen." Das war ein Fehler ohne böse Absicht. Mit böser Absicht und auf Millionen Geräten gleichzeitig: eine andere Dimension. (The Wire China, März 2026)

Was in diesem Moment passiert — nicht bei Oma Li allein, sondern bei Hunderttausenden gleichzeitig:

Auf den Laptops: alle Dokumente weg. Rentenbescheide, Verträge, Fotos, Steuerunterlagen. Browser-Passwörter vorher gestohlen und dann lokal gelöscht. Die OpenClaw-Konfigurationsdatei — mit allen verknüpften Zugangsdaten — bereits vor Stunden an externe Server übertragen.

Und die gestohlenenen WeChat Pay-Zugangsdaten? Die liegen jetzt beim Angreifer. Er nutzt sie nicht sofort — er verkauft sie, oder wartet auf den richtigen Moment. Für Hunderttausende Nutzer bedeutet das: Ihr Zahlungsmittel ist kompromittiert. Ob und wann, wissen sie nicht.

WeChat Pay ist in China kein Komfort. Bargeld existiert in vielen Städten praktisch nicht mehr. Wessen WeChat Pay-Konto gesperrt oder kompromittiert wird, kann nicht einkaufen, nicht die Arztrechnung bezahlen, nicht das Taxi rufen. Nicht für Stunden — für Tage, bis der Support-Prozess abgeschlossen ist.

Realer Vergleich — Berlin, 3. Januar 2026 Ein Brandanschlag der linksextremistischen Vulkangruppe auf eine Kabelbrücke in Berlin-Lichterfelde legte für bis zu fünf Tage 45.000 Haushalte und 2.200 Betriebe lahm. Bei Minusgraden fielen Heizungen aus, Notrufnummern waren zeitweise nicht erreichbar, Beatmungsgeräte in Pflegeheimen mussten auf Notbetrieb umgestellt werden, Krankenhäuser evakuierten Patienten. Es war der längste Stromausfall in Berlin seit 1945. Verursacht von einer Handvoll Menschen mit einem Feuer. (Wikipedia — Brandanschlag auf das Berliner Stromnetz 2026)

Der Unterschied zum beschriebenen OpenClaw-Szenario: In Berlin traf es einen Bezirk. Beim OpenClaw-Szenario läuft der Angriff auf einem bereits installierten, bereits vertrauenswürdigen Agenten — auf Millionen Geräten, verteilt über ganz China, gleichzeitig, lautlos, ohne sichtbaren Auslöser.

Berlin hat nach fünf Tagen wieder Strom gehabt. Verlorene WeChat-Daten, gelöschte Chatverläufe, kompromittierte WeChat Pay-Konten — die lassen sich nicht per Kabelreparatur wiederherstellen.

Die Dimension

Warum das kein gewöhnlicher Hackerangriff ist.

Was wir gerade beschrieben haben, klingt nach einem bekannten Muster: Phishing, Betrug, Datenleak. Das alles gibt es schon lange. Was ist hier neu?

Normaler Datenleak

Eine Datenbank wird gestohlen. Zugangsdaten landen irgendwo auf einem Server. Der Angreifer muss sie manuell auswerten — und dann manuell handeln. Zwischen Angriff und Schaden: Zeit. Zeit für Gegenmaßnahmen.

OpenClaw-Angriff

Der Agent ist bereits auf dem Gerät. Er handelt autonom. Sofort. Kein manuelles Eingreifen des Angreifers nötig. Er stiehlt Zugangsdaten und Dokumente, löscht Dateien, verwischt Spuren. Die gestohlenen Daten ermöglichen weiteren Betrug — extern, gezielt, mit dem Wissen über das Opfer, das OpenClaw gesammelt hat.

Und das ist nicht auf ein Gerät begrenzt. Die ClawHavoc-Kampagne traf koordiniert tausende Geräte gleichzeitig. Im beschriebenen Szenario könnten es — je nach Verbreitung des bösartigen Skills — zehntausende sein. Oder mehr.

Der entscheidende Unterschied zu allem, was vorher kam: Es ist kein gestohlener Schlüssel zu einem Schloss. Es ist ein Duplikatschlüssel zu allem — Dateien, Passwörter, Zugangsdaten, Kontakte. Der Einbrecher war schon drin, hat alles kopiert, und ist längst wieder weg. Du merkst es erst, wenn der Schaden bereits angerichtet ist.
Die WeChat Pay-Dimension

935 Millionen aktive Zahlungsnutzer.

WeChat Pay ist kein Luxus in China. Es ist die Grundlage des Alltags. Bargeld ist in weiten Teilen des Landes faktisch verschwunden — selbst Straßenverkäufer akzeptieren nur noch QR-Code-Zahlungen. Wer WeChat Pay verliert oder kompromittiert hat, verliert nicht nur Geld. Er verliert die Fähigkeit, am Alltag teilzunehmen.

Wie viele OpenClaw-Nutzer in China WeChat Pay verknüpft haben: unbekannt. Tencent veröffentlicht diese Zahl nicht. Aber: WeChat Pay hatte 2023 laut Tencent selbst 935 Millionen aktive Nutzer. Und OpenClaw wurde genau für diese Nutzer — über genau diese App — zugänglich gemacht.

⚠ Was wir nicht wissen

Wir wissen nicht, wie viele WeChat-Nutzer ClawBot aktiviert haben — Tencent hat keine Zahlen veröffentlicht. Wir nennen keine Kombinationszahl, weil sie Spekulation wäre. Was wir wissen: Die technischen Voraussetzungen für das beschriebene Szenario sind vorhanden und dokumentiert.

Einordnung

Was davon ist bereits passiert.

Bevor dieser Artikel als Panikmache missverstanden wird: Wir listen auf, was bereits dokumentiert ist — und was nicht.

Bereits eingetreten (belegt): Koordinierte Malware-Kampagnen über ClawHub mit tausenden Downloads. Kompromittierte Instanzen, die Finanzdaten und Zugangsdaten gestohlen haben. Fehlerhafte Agent-Aktionen, die Dateien gelöscht und Ausgabenlimits verändert haben. 135.000 ungeschützte OpenClaw-Instanzen öffentlich im Internet.

Technisch nicht möglich über ClawBot: Direktes Senden von Nachrichten an andere WeChat-Kontakte im Namen des Opfers, Lesen oder Löschen von WeChat-Chatverläufen. Diese Grenzen hat Tencent bewusst gezogen — ClawBot ist ein Übertragungskanal, kein Vollzugriff auf WeChat.

Noch nicht eingetreten, aber technisch möglich (hypothetisch): Ein koordinierter, großflächiger Angriff über bösartige Skills, der gleichzeitig auf Hunderttausenden Geräten WeChat Pay-Zugangsdaten stiehlt, Dokumente löscht und die erbeuteten persönlichen Daten für gezielten Folgebetrug nutzt.

💡 Warum dieses Szenario trotzdem relevant ist

Das OECD AI Incident Repository hat die OpenClaw-Sicherheitsvorfälle bereits als bestätigte AI Incidents klassifiziert — inklusive unbefugtem Datenzugriff, API-Key-Diebstahl und Malware-Verteilung. Die einzelnen Bausteine des beschriebenen Szenarios sind keine Fiktion. Das Worst Case ist die koordinierte, skalierte Verkettung von Dingen, die bereits einzeln eingetreten sind.

📌 Redaktionelle Einschätzung — thx4data.de

Wir haben dieses Szenario nicht gebaut, um Angst zu machen. Wir haben es gebaut, weil abstrakte Sicherheitsrisiken für die meisten Menschen nicht greifbar sind — solange man sie nicht an einer konkreten Person festmacht. Oma Li ist nicht naiv. Sie ist jemand, die ein Werkzeug benutzt, das sie nicht vollständig versteht — weil ihr niemand die Zeit gegeben hat, es zu verstehen.

Das ist keine Kritik an Oma Li. Es ist eine Kritik an einem System, das ein schlecht gesichertes Werkzeug mit Hochdruck in den Alltag von Millionen Menschen rollte — und die Verantwortung für die Konsequenzen in den Nutzungsbedingungen verschwinden ließ.

Was du tun kannst: Wenn du OpenClaw nutzt oder nutzen willst — lies zuerst den OpenClaw-Grundlagenartikel und den Hauptartikel zu OpenClaw + WeChat. Und verstehe, was du dem Agenten gibst, bevor du es gibst.

Quellen & Nachweise
[1]
The Hacker News — „Researchers Find 341 Malicious ClawHub Skills Stealing Data from OpenClaw Users" (Feb. 2026)
thehackernews.com
[2]
Trend Micro — „Malicious OpenClaw Skills Used to Distribute Atomic MacOS Stealer" (Feb. 2026)
trendmicro.com
[3]
Reco AI — „OpenClaw: The AI Agent Security Crisis Unfolding Right Now" (Feb. 2026)
reco.ai
[4]
eSecurity Planet — „Hundreds of Malicious Skills Found in OpenClaw's ClawHub" (Feb. 2026)
esecurityplanet.com
[5]
The Wire China — „How the OpenClaw Frenzy Is Testing China's AI Commitment" (März 2026)
thewirechina.com
[6]
Xpert Digital — „AI agent OpenClaw in WeChat: A super app becomes an AI platform" (März 2026)
xpert.digital
[7]
OECD AI Incident Repository — Widespread Security Incidents from OpenClaw AI Agent in China
oecd.ai
[8]
Tencent Investor Relations — Offizielle WeChat Pay MAU-Zahlen 2023
investor.tencent.com
[9]
Asia Times — „OpenClaw AI goes viral in China, raising cybersecurity fears" (März 2026)
asiatimes.com
[10]
99firms — WeChat Statistics 2026 (Bargeld, WeChat Pay-Verbreitung)
99firms.com